ftp+ssl, vsftp o proftp+vls

Question

ftp+ssl, vsftp o proftp+vls

wil 12 sep 2007 11:44

Adicto

359 mensajes
desde dic 2004

Buenas,
tengo un server con debian con los siguientes servicios, apache, mysql, amule, samba, ssh, etc... Ahora me surge la necesidad de tener ftp, y quiero que sea algo relativamente seguro. Lo tengo más o menos protegido con iptables, denyhosts y algunas políticas, y no quiero que las contrañas ftp viajen sin cifrar.
He pensado en ftp+ssl pero no se si hay muchos clientes que soporten actualmente ssl. Lo de tener los usuarios enjaulados me interesa, pero también que puedan acceder a directorios fuera de su home.

¿Que opción es la más adecuada, ftp+ssl, vsftp o proftp+vls?

Gracias

22 respuestas

Answer 1 · 2007-09-12T11:23:35+00:00

SFTP es la mejor solucion para mi.

Para linux hay multitud de clientes posibles, para windows asi de memoria winscp y creo que filezilla tambien lo soporta.

wil 12 sep 2007 12:37 Adicto **359** mensajes desde **dic 2004** · Answer 2 · 2007-09-12T11:37:22+00:00

wil 12 sep 2007 12:37

Adicto

359 mensajes
desde dic 2004

¿sftp soporta ssl?

Answer 3 · 2007-09-12T12:12:36+00:00

Txukie 12 sep 2007 13:12

Chasing dreams

7.369 mensajes
desde sep 2002
en Bilbao

Página web de Txukie Facebook de Txukie Twitter de Txukie Gamertag: TxukieTxiki PSN ID: TxukieTxiki Steam ID: txukie

No, es un protocolo de transferencia de ficheros sobre SSH.

Que interes tienes en que se cifre con SSL?

wil 12 sep 2007 13:55 Adicto **359** mensajes desde **dic 2004** · Answer 4 · 2007-09-12T12:55:25+00:00

No quiero que la contraseña viaje como texto plano. He instalado vsftp y he creado el certificado con openssl. Me conecto desde el trabajo con filecilla y sin configurar el soporte ssl en el cliente, se me ha conectado...
Me huele a que no esta funcionando ssl, aunque el creado el certificado y le marco el path donde está en el archivo de configuración.
¿Cómo puedo comprobar si esta activo ssl en el servidor?

Answer 5 · 2007-09-12T13:34:26+00:00

Puedes usar tcpdump o wireshark para mirar si el tráfico va cifrado o en claro. También puedes usar sftp cifrado con ssh-2, como dice Txukie. Hay bastantes clientes que lo soportan.

saludos

Answer 6 · 2007-09-12T13:38:01+00:00

La contrasenia no viaja por texto plano, se cifra, es compatible con sistemas de cifrado de clave publica/privada como RSA.

SFTP es EL sistema de transmision de ficheros seguro

Answer 7 · 2007-09-12T22:13:34+00:00

He instalado vsftp antes de ver vuestras respuestas y he hecho capturas con wireshark.
El nombre de usuario si que lo he capturado, pero no la contraseña.

Creo que ssl no está activo, he creado el certificado con openssl pero en el cliente "Filezilla" no he configurado nada de login con ssl y se conecta igual.
¿Creéis que he hecho una buena elección?

Edito:

Si hago en Wireshark "Analize", "Follow TCP Stream", si que aparece la contraseña... Tengo que hacer algo para solucionarlo, de momento paro el servicio pero haber si me podéis echar un cable...

Sertinell 13 sep 2007 00:07 MegaAdicto!!! **727** mensajes desde **jul 2003** · Answer 8 · 2007-09-12T23:07:44+00:00

Sertinell 13 sep 2007 00:07

MegaAdicto!!!

727 mensajes
desde jul 2003

no te gusta sftp ?

wil 13 sep 2007 00:38 Adicto **359** mensajes desde **dic 2004** · Answer 9 · 2007-09-12T23:38:04+00:00

es que ya me he puesto con vsftp, dicen que es very secure ftp...
he forzado que solo acepte conexiones por ssl, pero no me funciona. Sabéis algun cliente libre para Windows que funcione con SSL, tlv1 o la versión que sea...

Answer 10 · 2007-09-13T10:32:37+00:00

Dagaren 13 sep 2007 11:32

Adicto

430 mensajes
desde nov 2002
en Avila-Salamanca

sftp....

Answer 11 · 2007-09-13T11:07:19+00:00

Y dale, instálate un openssh y conéctate con sftp usando tu mismo usuario/login, haz un escaneo con wireshark y si encuentras login o password mandale un email a theo de raadt, cuéntaselo, y acto seguido vete a la peluquería a ponerte guapo para cuando te saquen la foto y aparezcas en los periódicos.

wil 13 sep 2007 13:39 Adicto **359** mensajes desde **dic 2004** · Answer 12 · 2007-09-13T12:39:55+00:00

Esta tarde me pondré con sftp, ya tengo openssh. Desconozco si sftp permite hacer chroot, limitar accesos o acceder a cualquier rincón del server.

Txukie escribió:Y dale, instálate un openssh y conéctate con sftp usando tu mismo usuario/login, haz un escaneo con wireshark y si encuentras login o password mandale un email a theo de raadt, cuéntaselo, y acto seguido vete a la peluquería a ponerte guapo para cuando te saquen la foto y aparezcas en los periódicos.

Agradezco tu aportación, pero se un poco más educado y no vaciles.

Answer 13 · 2007-09-13T14:03:39+00:00

Txukie 13 sep 2007 15:03

Chasing dreams

7.369 mensajes
desde sep 2002
en Bilbao

Página web de Txukie Facebook de Txukie Twitter de Txukie Gamertag: TxukieTxiki PSN ID: TxukieTxiki Steam ID: txukie

No pretendía vacilar solo hacer un chiste, pero esta claro que hay gente sin sentido del humor.

wil 13 sep 2007 15:39 Adicto **359** mensajes desde **dic 2004** · Answer 14 · 2007-09-13T14:39:57+00:00

¿Puede ser que el paquete sftp venga ya con openssh?
He hecho un "locate sftp" porque no encontraba un paquete con nombre sftp y he encontrado los binarios en /usr/bin y en /usr/lib pero no el archivo de configuración ni el script de arranque o parada.

Si hago apt-get install sftp me dice " El paquete sftp no tiene candidato para su instalación"

¿Es posible que no este instalado del todo o donde rayos están los ficheros de configuración?

Solo quiero un ftp seguro...

Answer 15 · 2007-09-13T14:41:16+00:00

Yo ando intentando hacer algo parecido. Con sftp no puedes usar usuarios virtuales, ¿no? No quiero que el usuario del ftp tenga acceso a una shell, sólo un directorio ftp enjaulado.

Un saludo.

Sertinell 13 sep 2007 16:10 MegaAdicto!!! **727** mensajes desde **jul 2003** · Answer 16 · 2007-09-13T15:10:10+00:00

Sertinell 13 sep 2007 16:10

MegaAdicto!!!

727 mensajes
desde jul 2003

http://www.snailbook.com/faq/restricted-scp.auto.html

Answer 17 · 2007-09-13T15:55:48+00:00

Yo el chroot con sftp lo solucione en este enlace http://www.minstrel.org.uk/papers/sftp/

Hay que hacer algunas pirulas pero me va bien, y el usuario de sftp no tiene shell normal, solo es valido para sftp.

Un saludo.

wil 13 sep 2007 17:22 Adicto **359** mensajes desde **dic 2004** · Answer 18 · 2007-09-13T16:22:40+00:00

¿El archivo de configuracion de sftp-server es el de /etc/sshd_config en debian?

Sertinell 13 sep 2007 17:26 MegaAdicto!!! **727** mensajes desde **jul 2003** · Answer 19 · 2007-09-13T16:26:58+00:00

Sertinell 13 sep 2007 17:26

MegaAdicto!!!

727 mensajes
desde jul 2003

es el mismo que el de sshd

Answer 20 · 2007-09-13T18:03:22+00:00

Gracias por los enlaces. La forma de conseguir el chroot no me gusta demasiado. :S

Sertinell 13 sep 2007 22:22 MegaAdicto!!! **727** mensajes desde **jul 2003** · Answer 21 · 2007-09-13T21:22:35+00:00

A mi, despues de leerlos con detalle, tampoco me convence nada eso de parchear el codigo :S.

Hasta hace 10 horas, habria jurado que se podia hacer algo poniendo la shell a /dev/null y santas pascuas.

wil 14 sep 2007 08:25 Adicto **359** mensajes desde **dic 2004** · Answer 22 · 2007-09-14T07:25:27+00:00

En vsftp era más fácil enjaular usuarios, pero con sftp he intentado capturar mis contraseñas y imposible.
Creo que me quedo con sftp, total solo voy a usarlo yo, me crearé un usuario con el home en el sitio donde quiero y allí pondré enlaces simbólicos.